Die „Chef-Masche“, auch „CEO-Fraud“ oder „Fake President Trick“ genannt, wurde schon viel-fältig in der Literatur diskutiert. Bei dieser Betrugsmasche kontaktieren die Täter Mitarbeiter von Unternehmen mittels gefälschter E-Mails, geben sich als Geschäftsführer oder Führungs-kraft aus und veranlassen die Mitarbeiter unter Vorspiegelung eines betrieblichen Anlasses zur Überweisung größerer Geldsummen ins Ausland. In vielen Fällen sehen die Unternehmen die überwiesenen Gelder nie wieder. Die Schäden gehen teilweise in die Millionen.
Wird ein Unternehmen Opfer einer derartigen Betrugsmasche, stellt sich häufig die Frage nach (arbeits-)rechtlichen Konsequenzen für die in die unberechtigten Zahlungsvorgänge in-volvierten Mitarbeiter. Neben der Kündigung des Arbeitsverhältnisses spielen dabei insbesondere Schadensersatzansprüche eine entscheidende Rolle. Diese sind aufgrund der arbeitsrechtlichen Besonderheiten, insbesondere der Grundsätze des innerbetrieblichen Schadensausgleichs, indes nicht immer leicht zu realisieren. Soweit ersichtlich – hat erstmals ein Landesarbeitsgericht eine Arbeitnehmerin im Zusammenhang mit der „Chef-Masche“ zum Schadensersatz verurteilt (Sächsisches LAG vom 13.6.2017, Az. 3 Sa 556/16).
Der in den Details recht komplexe Sachverhalt stellt sich stark vereinfacht wie folgt dar: Die beklagte Arbeitnehmerin war bei einer konzernangehörigen Managementgesellschaft, die für andere Konzernunternehmen Verwaltungs- und Finanzdienstleistungen erbrachte, als Finanzdirektorin angestellt. Zu ihren Aufgaben gehörte unter anderem das Finanzmanagement der Unternehmensgruppe sowie die Organisation und Sicherung des Geldbestandes aller Unternehmen.
Im Sommer 2014 warnte die Konzernspitze per E-Mail vor Betrugsversuchen nach der sog. „Fake-President-Methode“. Ca. ein Jahr später erhielt die Finanzdirektorin mehrere vermeintlich vom CEO der Konzernmutter stammende E-Mails, in denen sie angewiesen wurde: sechsstellige Beträge in mehreren Tranchen auf ausländische Konten zu überweisen. Zur Begründung wurde angegeben, es handele sich um eine Geldstrafe in Folge einer Steuerprüfung. Um Misstrauen durch andere Abteilungen zu vermeiden, solle die Zahlung über eine Schwestergesellschaft erfolgen. Das Geld werde nur vorübergehend genutzt und nach 48 Stunden wieder zurückgezahlt. In seinen E-Mails wies der vermeintliche CEO wiederholt auf die besondere Vertraulichkeit der Angelegenheit hin.
Daraufhin wies die beklagte Finanzdirektorin die ihr fachlich unterstellte kaufmännische Leiterin an, die Überweisungen vorzunehmen und verpflichtete sie zu strengem Stillschweigen. Die nach den konzerninternen Vorgaben für Zahlungsanweisungen über mehr als TEUR 100 erforderliche Zweitunterschrift holte die Finanzdirektorin nicht ein. Als sie die angekündigte Rückzahlung des Geldes zwei Wochen später noch immer nicht feststellen konnte, ging ihr offenbar ein Licht auf und sie bemühte sich um Schadensbegrenzung. Dies gelang indes lediglich für einen Teil der geleisteten Zahlungen, es entstand ein Schaden in Höhe von mehr als TEUR 400.
Im Gegensatz zur Vorinstanz, die die Arbeitnehmerin zum vollen Schadensersatz verurteilt hatte, gelangt das Sächsische Landesarbeitsgericht zu einer anteiligen Haftung. Durch Veranlassung der Überweisung habe die Finanzdirektorin zum einen gegen die Rücksichtnahmepflicht aus § 241 Abs. 2 BGB verstoßen. Diese gebiete es, keine Überweisung aus Geldbeständen der Unternehmensgruppe zu veranlassen, die nicht im geschäftlichen Interesse der Gruppe liege. Zum anderen sei der Finanzdirektorin ein Verstoß gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift anzulasten.
Insgesamt habe die Arbeitnehmerin grob fahrlässig gehandelt. Sie habe objektiv die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt, indem sie die Fälschung der E-Mails nicht erkannte. Der Inhalt der E-Mails sei teilweise sinnlos und verdächtig gewesen. Daher habe sich die Arbeitnehmerin beim CEO der Ernsthaftigkeit der erhaltenen Anweisungen versichern müssen. Sogar Vorsatz sei der Arbeitnehmerin nach Ansicht des Gerichts vorzuwerfen, soweit sie gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift verstoßen habe. Im Hinblick auf den Schadenseintritt habe die Finanzdirektorin wiederum grob fahrlässig gehandelt. Angesichts der vorliegenden Verdachtsmomente und der bewussten Hinwegsetzung über die Konzernvorgabe zur Einholung einer Zweitunterschrift sei die Gefahr eines Verlustes des angewiesenen Geldes für jedermann erkennbar gewesen.
Allerdings sei der Schadensersatzanspruch wegen Mitverschuldens um insgesamt 50 % zu mindern. 10 % davon entfielen auf den Arbeitgeber, der es unterlassen habe, im Hinblick auf den „Fake President Trick“ ausreichende Schutzmaßnahmen zu implementieren. Ein weiterer Mitverschuldensanteil in Höhe von 40 % entfalle auf die kaufmännische Leiterin, die die Überweisung letztlich vornahm. Denn diese habe das Vorhandensein einer Zweitunterschrift vor der Überweisung ebenfalls nicht geprüft, obwohl sie nach der Konzernvorgabe hierzu verpflichtet gewesen sei.
Eine weitere Haftungsbegrenzung folgt nach Auffassung des LAG aus den von der Rechtsprechung entwickelten Grundsätzen der eingeschränkten Arbeitnehmerhaftung. Hiernach ist die Haftung des Arbeitnehmers bei allen betrieblichen Tätigkeiten beschränkt, und zwar ab-hängig vom Grad seines Verschuldens. Zwar sei der Finanzdirektorin insgesamt grobe Fahrlässigkeit vorzuwerfen, was grundsätzlich eine ungeminderte Haftung zur Folge habe. Unter Abwägung der Umstände des Einzelfalls sei vorliegend indes eine Haftungsbegrenzung geboten. Der entstandene Schaden stehe außer Verhältnis zu der Vergütung der Arbeitnehmerin. Überdies habe sie ohne Eigennutz gehandelt. Vor dem Hintergrund, dass die Finanzdirektorin bereits eine neue Tätigkeit ausübe, noch lange im Erwerbsleben stehe und keine Unterhaltspflichten habe, sei eine Haftungsbegrenzung angemessen, im vorliegenden Urteil lastet dennoch immerhin ein Betrag in Höhe von TEUR 150 auf der Finanzdirektorin.
Um es erst gar nicht zu einem risikobehafteten Schadensersatzprozess kommen zu lassen, gilt für Unternehmen umso mehr: Geeignete Schutzmaßnahmen gegen Angriffe durch Trickbetrüger müssen Chefsache sein. Ein vorhandenes und funktionierendes Compliance Managementsystem mindert Risiken, die aus derlei dolosen Handlungen erwachsen können.